Cisco Cisco Identity Services Engine 1.2 设计指南
© 2015 思科系统公司
第
15 页
安全访问操作指南
每个探测功能类型的启用难易程度各不相同。根据所使用的协议及其部署方式,每个探测类型对于网络或终
端的影响程度也不一样。最后,每个探测功能在其所产生数据的价值方面以及对网络中相关的具体终端进行
分类的适用性方面也各不相同。本指南介绍各个探测功能的配置和部署方式,并且全面介绍其部署的难易程
度、网络影响以及基于部署类型的相对分析价值。
端的影响程度也不一样。最后,每个探测功能在其所产生数据的价值方面以及对网络中相关的具体终端进行
分类的适用性方面也各不相同。本指南介绍各个探测功能的配置和部署方式,并且全面介绍其部署的难易程
度、网络影响以及基于部署类型的相对分析价值。
探测功能配置
在为分析服务配置的
ISE 策略服务节点上启用 ISE 探测功能。本节介绍启用各个 ISE 探测功能以收集不同终
端属性的步骤。此外,还将提供支持网络基础设施的有效配置示例,以及基础设施和
ISE 管理界面的预期
输出。
使用
RADIUS 探测功能进行分析
RADIUS 探测功能收集 RADIUS 客户端向 RADIUS 服务器(运行会话服务的 ISE 策略服务节点)发送的
RADIUS 属性(包括有线接入交换机和无线控制器)。标准 RADIUS 端口包括用于身份验证和授权的
UDP/1645 或 UDP/1812,以及用于 RADIUS 记帐的端口 UDP/1646 和 UDP/1813。
RADIUS 属性(包括有线接入交换机和无线控制器)。标准 RADIUS 端口包括用于身份验证和授权的
UDP/1645 或 UDP/1812,以及用于 RADIUS 记帐的端口 UDP/1646 和 UDP/1813。
注:
RADIUS 探测功能不直接侦听 RADIUS 流量,而是侦听和解析系统日志中向默认 UDP 端口 20514 上的监
控节点发送的
RADIUS 属性。然后,所捕获的 RADIUS 配置文件属性将转发给默认 UDP 端口 30514 上的内
部记录器。
RADIUS 探测功能还可以收集在 RADIUS 记帐数据包中使用设备传感器功能发送的思科发现协议 (CDP)、
链路层发现协议
链路层发现协议
(LLDP) 和 DHCP 属性。下文将详细介绍此功能(请参阅
一章)。图
9 显示思科
RADIUS 探测功能示例的拓扑。
图
7. RADIUS 探测功能示例
表
3 显示使用 RADIUS 探测功能收集的常见属性。